Традиційна архітектура мережі

Протокол маршрутизації між мережевими шлюзами (BGP) відповідає за маршрутизацію даних між пристроями в поточній інтернет-системі. Подумайте про BGP як поштове відділення інтернету: коли дані відправляються через мережу, BGP знаходить всі можливі маршрути до пункту призначення і вибирає найкращий.

Кожен пристрій, підключений до Інтернету, належить до Автономної системи (AS), малої мережі, яка об'єднує кілька пристроїв і, як правило, управляється однією організацією, такою як школа, компанія або уряд. Пристрої в одній AS використовують однакові маршрутизаційні політики, що означає, що якщо два пристрої в одній AS хочуть підключитися до зовнішнього сервера, їх дані будуть йти однаковим шляхом. По суті, AS діють як регіональні поштові відділення, організовуючи та маршрутизуючи пакети даних до їх місць призначення за допомогою BGP.

Проте AS не є повністю пір-до-піра мережами. Кожен AS підключається тільки до своїх сусідів та оголошує маршрути, які він може досягти. Наприклад, якщо пакет даних повинен подорожувати від AS1 до AS4, є два можливі маршрути:

1. AS1 → AS2 → AS3 → AS4
2. AS1 → AS5 → AS5

Оскільки шлях через Маршрут 2 є коротшим, BGP автоматично обирає цей шлях. Якщо шлях 2 буде перервано з якої-небудь причини, BGP перерахує та обере новий найкращий маршрут для передачі даних. BGP працює як автоматичний навігатор, записуючи найкращі маршрути до інших AS, тому як тільки термінал ініціює передачу даних, BGP може автоматично надіслати їх до місця призначення з найвищою швидкістю.

Проте, BGP спочатку був розроблений для того, щоб дозволити обмін даними лише кільком комп'ютерам, без врахування питань безпеки та трафіку. У зв'язку з цим існують певні обурення щодо його використання. По-перше, з точки зору безпеки, оскільки шлях передачі автоматично вибирається BGP, а користувачі не можуть активно його налаштовувати, він стає вразливим перед атаками. Наприклад, атакувачі можуть створити зловісний AS та оголосити неправильну маршрутизаційну інформацію, що призведе до відправлення даних в неправильне місце призначення та спричинить перехоплення даних або розрив мережі.

З ефективної точки зору, якщо відбуваються зміни в загальній конфігурації AS, BGP потребує певного часу для оновлення всієї інформації маршрутизації. Під час цього процесу деякі шляхи можуть стати недоступними, що призводить до затримок та втрати пакетів. Крім того, у BGP відсутній вбудований механізм балансування навантаження трафіку. Хоча він вибирає найкоротший шлях, якщо пропускна здатність цього шляху перевищує його потужність, BGP не буде рівномірно розподіляти трафік по іншим шляхам, якщо тільки конфігурація AS не зміниться.

Потенційні проблеми з BGP спричинили значні мережеві події. Наприклад, у 2008 році Пакистанські телекомунікації під управлінням уряду намагалися цензурувати IP-адресу YouTube в межах країни. Їхній високорівневий постачальник послуг помиляно відтранслював невірну інформацію про маршрутизацію в Інтернет, що призвело до того, що увесь глобальний трафік YouTube був спрямований до Пакистанських телекомунікацій, що призвело до глобального збою в обслуговуванні YouTube.

Крім компаній Web2, зловмисники також можуть викрасти криптовалютні активи користувачів через атаки BGP. У 2018 році зловмисники запустили атаку BGP-викрадення, яка перенаправляла трафік, що відвідував гаманець MyEther, на зловісний сервер, обманюючи користувачів на фішинговий сайт, крадучи їхні активи гаманця та перекладаючи їх на гаманці зловмисників. Ця атака тривала близько двох годин і призвела до крадіжки 214 Ether на суму понад 150 000 доларів. Це свідчить про те, що BGP став одним з найбільших проблем, з якими стикаються підприємства та компанії, що призвело до розробки нового мережевого протоколу SCION.

Що таке SCION?

SCION (Масштабованість, Контроль та Ізоляція в мережах нового покоління) - архітектура мережі, яка покращує безпеку та продуктивність Інтернету. Вона була розроблена ETH Zurich та її афілійованою компанією Anapaya Systems для вирішення різних проблем безпеки в існуючих архітектурах мереж.

По-перше, SCION вводить концепцію ізольованих доменів (ISD), де кожен ISD складається з кількох ASs у межах тієї ж юрисдикції або географічної області, і вибирається надійний суб'єкт для управління основним AS, який керує ISD. У кожному ISD є своя інфраструктура відкритих ключів (PKI) для перевірки ідентичності між ASs, що забезпечує відсутність зловмисних AS та підвищує безпеку шляхом активування зашифрованого зв'язку. Крім того, забезпечуючи надійність ASs у межах ISD, ISD діють як брандмауери в Інтернеті. Якщо сталася порушення безпеки, його вплив обмежується на порушений ISD і не поширюється по всій мережі, що ефективно запобігає масштабним мережевим атакам чи відмовам.

Для передачі даних SCION має механізм Proof-of-Path, де інформація про кожен шлях шифрується та підписується, а кожна AS на шляху перевіряє автентичність маршруту, в якому він бере участь, запобігаючи будь-яким несанкціонованим змінам. Крім того, SCION надає кілька варіантів маршрутів для передачі даних, дозволяючи користувачам оцінювати різні шляхи на основі затримки, пропускної здатності, безпеки тощо та вибирати найбільш підходящий маршрут. Таким чином, мережевий трафік не буде перевантажений одним шляхом, що ефективно підвищує ефективність передачі даних.

Порівняно з BGP, ISD SCION дозволяє перевіряти походження та автентичність кожного AS, а проблеми безпеки обмежені в малих масштабах, що значно підвищує безпеку та стабільність мережі. Крім того, на відміну від BGP, який автоматично вибирає маршрути для користувачів, SCION надає користувачам повний контроль над шляхом передачі, пропонуючи кілька варіантів маршрутів. Користувачі можуть бачити через які AS пройде шлях та вбудовувати обраний шлях у пакети даних, що дозволяє кожному AS вздовж шляху бути обізнаним з наступним кроком, тим самим звільняючи місце в пам'яті маршрутизатора та уникнення затримок, спричинених оновленням таблиці маршрутизації.

Вплив SCION на мережу SUI

Наразі всі мережі блокчейнів, незалежно від того, чи це мережі рівня 1, рівня 2, чи модульні блокчейни, покладаються на протокол BGP для зв'язку між вузлами. Це означає, що всі блокчейни піддаються потенційним загрозам безпеки BGP. Протягом років ставалися кілька відомих атак BGP. Наприклад, у 2018 році зловмисники використовували BGP для перенаправлення трафіку на зловмисні сервери, обманюючи користувачів, щоб вони відвідали сайти фішингу та викрали активи з їх гаманців MyEther, переказуючи викрадені кошти зловмисникам. Ця атака тривала дві години і призвела до крадіжки 214 Ether, що на той час становило понад 150 000 доларів. У 2022 році KLAYswap було взламано через атаку перенаправлення BGP, яка змінила сторонні посилання на фронтенді, що призвело до авторизації користувачів на зловмисних адресах та крадіжки приблизно 1,9 мільйона активів.

Поза крадіжкою активів, злочинці можуть маніпулювати BGP, щоб контролювати маршрутизацію, збільшувати затримки у комунікації між вузлами або навіть повністю блокувати шляхи передачі. Це може серйозно вплинути на швидкість консенсусу блокчейну, спричиняючи зупинки мережі та підірвати безпеку консенсусу. Консенсус необхідний для функціонування блокчейнів, запобігаючи проблемам, таким як подвійне витрачання та підроблення рахунків, та забезпечуючи надійність мережі. Наприклад, Solana минулого стикалася зі значними періодами простою, що породило питання про її безпеку.

Для зменшення ризиків, пов'язаних з BGP, Sui вирішила співпрацювати з Anapaya Systems для впровадження інфраструктури SCION, яка зараз працює на їх тестовій мережі. Це оновлення очікується принести кілька переваг Sui:

1. Більш гнучке участь у консенсусі

Якщо одну мережу атакують, повні вузли можуть швидко переключитися на іншу непошкоджену мережу, що забезпечує гнучкість вибору альтернативного шляху для передачі даних і гарантує, що консенсус не буде порушено атаками, які намагаються вивести валідаторів з ладу.

2. Швидкоча синхронізація стану

SCION дозволяє повним вузлам мати кілька шляхів підключення до інших вузлів та перевіряючих. Це дозволяє швидку синхронізацію стану, уникнувши далеких вузлів та обійшовши мережеві затори, що прискорює загальну синхронізацію мережі.

3. Покращена стійкість до IP DDoS-атак

У разі DDoS-атаки структура ISD обмежує масштаб атаки до однієї мережі. Вузли та валідатори можуть легко вибирати альтернативні шляхи для обхіду зловісного трафіку, що запобігає впливу DDoS-атаки на них.

В цілому багаторозрядна маршрутизація SCION та ізоляція шляхів забезпечують мережі SUI більшу безпеку та гнучкість при роботі з атаками зовнішніх мереж, зменшуючи ймовірність відключення. Крім того, вбудовання інформації про маршрут безпосередньо в пакети даних покращує швидкість мережі. Офіційні тести показали, що затримки між віддаленими вузлами можуть бути зменшені на більш як 10%, покращуючи продуктивність мережі, що робить SUI провідним громадським ланцюгом у галузі.

Висновок

Sui, зростаючий громадський ланцюг Layer 1, побудований з унікальною мовою MOVE і представляє перший об'єктно-орієнтований громадський ланцюг. Він стане першим блокчейн-протоколом, який реалізує архітектуру SCION, відображаючи зобов'язання Mysten Lab до технологічних інновацій та постійного покращення продуктивності та безпеки Sui. Якщо оновлення SCION виявиться успішним, це може заохочувати інші громадські ланцюги приймати подібну технологію, що відзначає значний стрибок уперед для технології блокчейну та закладає основу для широкомасштабного використання в майбутньому.